[H3C-acl-basic-2001] rule deny source 10.1.1.1 0 拒绝源地址为10.1.1.1的主机
4.4、扩展ACL:
配置步骤 进入系统视图 创建或进入高级ACL视图 定义ACL规则 定义ACL规则的注释字符串 定义ACL的描述信息
rule-string: ACL规则信息
参数 类别 作用 说明 用数字表示时取值范围为1~255 命令 system-view acl number acl-number [ match-order { config | auto } ] rule [ rule-id ] { permit | deny } 说明 - 缺省情况下匹配顺序为config 必选 rule-string rule rule-id comment text description text 可选 可选 protocol 协议类型 IP承载的协议类型 用名字表示时,可以选取GRE、ICMP、IGMP、IP、IPinIP、OSPF、TCP、UDP sour-addr sour-wildcard用来确source { sour-addr 指定ACL规则源地址信息 的源地址信息 定数据包的源地址,点分十进制表示;sour-wildcard可以为0,表示主机地址 any代表任意源地址 sour-wildcard | any } dest-addr dest-wildcard用来确destination { dest-addr 目的地址信息 指定ACL规则的目的地址信息 定数据包的目的地址,点分十进制表示;dest-wildcard可以为0,表示主机地址 any代表任意目的地址 precedence 报文优先级 报文优先级 报文优先级 IP优先级 ToS优先级 DSCP优先级 定义规则仅fragment 分片信息 对非首片分片报文有效 - 取值范围0~7 取值范围0~15 取值范围0~63 dest-wildcard | any } precedence tos tos dscp dscp 参数 类别 作用 指定规则生效的时间段 说明 - time-range time-name 时间段信息
配置:[H3C] system-view
[H3C-acl-adv-3001] rule permit tcp source 10.1.1.1 0 destination 202.5.8.15 0 destination-port eq 80 允许源地址为10.1.1.1的主机通过TCP协议访问目的地址为202.5.8.15服务器的80端口 4.5、二层ACL
配置步骤 进入系统视图 创建或进入二层ACL视图 定义ACL规则 定义ACL规则的注释字符串 定义ACL的描述信息 rule-string: ACL规则信息
参数 类别 作用 定义规则中的链路层封装类型 说明 命令 system-view acl number acl-number rule [ rule-id ] { permit | deny } 说明 - 必选 必选 可选 可选 rule-string rule rule-id comment text description text format-type:取值可以为802.3/802.2、802.3、ether_ii、snap format-type 链路层封装类型 lsap-code:数据帧的封装格式,16比特的十六进制数 lsap lsap-code 定义规则中的lsap字段 lsap-wildcard lsap字段 lsap-wildcard:Lsap值的掩码, 16比特的十六进制数,用于指定屏蔽位 source-addr:源MAC地址,格式为H-H-H source { source-addr 定义规则的源MAC地址范围 source-mask | vlan-id }* 源MAC信息 source-mask:源MAC地址的掩码,格式为H-H-H vlan-id:源VLAN ID,取值范围1~4094 dest-addr:目的MAC地址,格dest dest-addr 目的MAC信息 定义规则的目的MAC地址范围 式为H-H-H dest-mask dest-mask:目的MAC地址的掩码,格式为H-H-H 参数 cos vlan-pri 类别 优先级 作用 定义规则的802.1p优先级 指定规则生效的时间段 说明 vlan-pri:取值范围为0~7 time-name:指定规则生效的时间段名称,字符串格式,长度为1~32 time-range time-name type 时间段信息 protocol-type protocol-mask 配置:[H3C] system-view
以太网帧的协议类型 定义以太网帧的协议类型 protocol-type:协议类型 protocol-mask:协议类型掩码
[H3C-acl-ethernetframe-4001] rule permit source 2056-1a4c-4fea ffff-ffff-ffff vlan 10 destination any
4.6、在端口上应用ACL
组合方式 单独应用一个IP型ACL中所有规则 单独应用一个IP型ACL中一条规则 单独应用一个Link型ACL中所有规则 单独应用一个Link型ACL中一条规则 单独应用一个用户自定义ACL中所有规则 单独应用一个用户自定义ACL中一条规则 同时应用IP型ACL中一条规则和一个Link型ACL的一条规则
配置:
[H3C-GigabitEthernet0/1] packet-fifter inbound ip-group 2001 rule 1 link-group 4001 rule 1 time-range test
注意:1、编辑的规则不能和已存在的规则内容完全相同,否则系统会提示该规则已存在
2、当匹配顺序为config时,指定规则编号已存在时将编辑该规则,没有编辑的部分将保
持原样;当匹配顺序为auto时,用户不能编辑任何已存在的规则。
3、如果指定编号的规则不存在,则系统默认创建一个新的规则。 4、如果不指定规则编号,系统会自动分配一个编号。
acl-rule的形式 ip-group acl-number ip-group acl-number rule rule-id link-group acl-number link-group acl-number rule rule-id user-group acl-number user-group acl-number rule rule-id ip-group acl-number rule rule-id link-group acl-number rule rule-id 5、掌握ACL包过滤的配置应用注意事项
5.1、每个接口可在in和out两个方向上分别应用一个ACL。
5.2、每个ACL最后都隐藏了一个“deny any any”的语句。 5.3、语句的次序,范围小、特殊的的尽量放前面
5.4、用户可以指定一条ACL中多个规则的匹配顺序,一旦指定顺序,便不可以更改,只有删除规则
重新设定。
5.5、ACL两种匹配顺序:一是根据配置顺序匹配
二是自动排序、根据“深度优先”规则匹配规则
深度优先:1、先比较规则的协议范围。IP协议的范围为1~255,范围较小的优先
2、再比较源地址的范围、范围小(掩码长)的优先 3、再比较目的地址范围、范围小(掩码长)的优先
4、最后比较四层端口号(TCP/UDP端口号),端口号范围小的优先
5.6、基于时间段的ACL:ACL中每条规则都可以选择一个时间段,如果规则引用时间段未配置,则
系统给出提示,并允许规则建立成功,但不能生效,直到用户配置该规则的引用时间段,并且在指定范围内生效;若用户手工删除一条规则的引用时间段,则该条规则在定时器刷新后将失效。
6、理解NAT技术出现的历史背景
6.1、internet中IPv4地址不足,同时可以隐藏内部地址信息,避免攻击;NAT可以借助于代理服务
器实现,但考虑实现成本,一般应用于路由器上。
7、理解NAT的分类及原理
7.1、原理:NAT主机将数据包中的内部专用IP地址以及端口号转化为自己的IP地址和端口号,然
后发给目的地址,同时产生一个跟踪信息映像表,以便向客户机发送回应信息。
7.2、分类:静态地址转换:将私有地址与公有地址进行一对一的映射,一般用于服务器
动态地址转换:NAT设有一个公网地址池,当内部某个主机需要向外通信时,随即分
配一个公网地址与之形成暂时的映射关系,数据发送完毕后放回。
端口地址转换:使用公有地址的一个端口对应一个私有地址,这样一个公有地址可以
同时对应多个私有地址。
8、配置常见NAT应用
8.1、配置地址池:[H3C] nat address-group 1 172.16.0.0 172.31.0.0
删除地址池:[H3C] undo nat address-group 1
注意:当一个地址池和某个ACL关联进行地址转换时无法删除
8.2、配置ACL和接口地址关联:[H3C-GigabitEthernet0/1] nat outbound acl-number
删除配置ACL和接口地址关联:[H3C-GigabitEthernet0/1] undo nat outbound acl-number
注意:当使用接口地址作为转换地址后,若修改了接口地址,则应该首先使用reset nat session命令
清除原nat地址映射表项。
8.3、配置静态一对一地址转换:[H3C] nat static 172.16.2.25 202.26.12.6 应用在接口上:[H3C-GigabitEthernet0/1] nat outbound static
8.4、配置静态网段地址转换:[H3C] nat static net-to-net 172.16.0.0 172.31.0.0 global 202.1.1.1 255.0.0.0 注意:nat static与nat static net to net分别创建不同地址转换表项,不存在冲突即可。 8.5、配置多对多地址转换:[H3C-GigabitEthernet0/1] nat outbound 3001 group-address 1
8.6、配置内部服务器:[H3C-GigabitEthernet0/1] nat server protocol TCP global 1.1.1.1 80 inside 2.2.2.2
9、处理常见NAT问题
10、在实际网络中灵活使用NAT技术 第14章 广域网PPP协议及帧中继协议
1、掌握PPP协议的原理和特点
用LCP建立、配置和测试数据链路 用NCP建立、配置不同的网络层协议 用HDLC来封装数据报 2、掌握PPP协议的协商过程 5个阶段:
(1)、链路建立准备阶段 (2)、链路建立阶段
(3)、认证阶段
(4)、网络层协议阶段 (5)、链路终止阶段
3、掌握PPP协议两种验证方式 pap和chap(安全性较高) 4、掌握PPP协议的配置 Route#config terminal
Route(config)#interface serial 0\\0
Route(config)#ip address 192.168.1.1 255.255.255.0 Route(config)#encaplucation ppp
Route(config)#ppp pap sent-username ZHOU password 1331 best Route(config)#no shut down
5、熟悉PPP协议的维护命令及方法 show interface debug PPP packet
相关推荐:
loading